検出結果から変更ルールを作成する
[脆弱性] または [ホスト監査] の [検出結果] ワークベンチで、ルールを作成して検出結果のステータスを変更したり、非表示にしたりすることができます。設定から変更ルールを作成する で説明されているように、 [設定] > [変更] からルールを作成することもできます。
ヒント: ルールを作成するタイミングとその管理方法の詳細については、変更ルールを参照してください。
変更ルールまたは許容ルールを作成する
変更ルールまたは許容ルールを作成する方法
-
左側のナビゲーションで [検出結果] をクリックします。
[検出結果] ワークベンチが表示されます。
-
[脆弱性] タブをクリックします。
ホストの脆弱性を含む結果のテーブルが表示されます。
-
ターゲットにする検出結果の [アクション] 列で、 をクリックします。
ドロップダウンが表示されます。
-
ドロップダウンで [変更] をクリックします。
オプションのプレーンが表示されます。これらのオプションを次のように設定します。
オプション 説明 アクション [許容] または [変更] をクリックします。これらのルールタイプについては、変更ルールと許容ルールについて を参照してください。 脆弱性プラグイン ID 脆弱性の Tenable プラグイン ID を入力します (たとえば 70658)。 新しい深刻度 (変更ルールのみ) 該当する脆弱性の変更後の深刻度 (低 など) を選択します。 ターゲット [すべて] または [カスタム] を選択します。他のルールよりも優先されるルールがある場合は、警告が表示されます。最後に作成されたルールが、他のルールよりも優先されます。
ターゲットホスト [カスタム] ターゲットには、IPv4 アドレスや範囲、ホスト名、クラスレスドメイン間ルーティング (CIDR) 表記、完全修飾ドメイン名 (FQDN) を最大 1000 個までコンマで区切って入力できます。
注意: 複数のネットワークがある場合、IP アドレスで検出結果をターゲットにすると、ルールはすべてのネットワークの検出結果と一致します。詳細は、ネットワークを参照してください。
有効期限日 [指定日以降] または [正確な日付] を選択します。次に、ルールの有効期限が切れる日数または日付を入力します。 コメント ルールの詳細を説明するコメントを入力します。 誤検出として Tenable に報告する (オプション) (許容ルールのみ) プラグインが不正確な検出結果を生成した場合に、Tenable が結果をレビューできるようにするには、このトグルをオンにします。 -
[保存] をクリックします。
システムはルールを処理しますが、対象となる検出結果が多い場合は時間がかかることがあります。完了すると [検出結果] ワークベンチが更新され、ルールが [設定] > [変更] に表示されます。
結果変更ルールまたは許容ルールの作成
注意: 最適なパフォーマンスのため、システムは各コンテナで合計 5000 個までの結果変更ルールと許容ルールをサポートしています。
結果変更ルールまたは許容ルールを作成する方法
-
左側のナビゲーションで [検出結果] をクリックします。
[検出結果] ワークベンチが表示されます。
-
[ホスト監査] タブをクリックします。
ホスト監査の検出結果を含む結果のテーブルが表示されます。
-
ターゲットにする検出結果の [アクション] 列で、 をクリックします。
ドロップダウンが表示されます。
-
[変更ルールの追加] をクリックします。
オプションのプレーンが表示されます。これらのオプションを次のように設定します。
オプション 説明 アクション [許容] または [結果変更] をクリックします。これらのルールタイプについては、結果変更ルールと許容ルールについて を参照してください。 カテゴリ 新しいルールのカテゴリを選択します (例: Windows)。 監査ファイル 資産に対して実行する監査ファイルを選択します (例: CIS_MS_Windows_11_Enterprise_Level_1_v1.0.0.audit)。
監査名 監査名を入力します (例: 9.3.1 Ensure 'Windows Firewall: Public: Firewall state' is set to 'On (recommended)')。
元の結果 ホスト監査の元の結果 ([失敗] など) を選択します。
新しい結果 (結果変更ルールのみ) 対象となる検出結果の変更後の結果を選択します。 ターゲット (オプション) [カスタム] を選択します。他のルールよりも優先されるルールがある場合は、警告が表示されます。最後に作成されたルールが、他のルールよりも優先されます。 ターゲットホスト [カスタム] ターゲットには、IPv4 アドレスや範囲、ホスト名、クラスレスドメイン間ルーティング (CIDR) 表記、完全修飾ドメイン名 (FQDN) をコンマで区切ってリスト入力できます。最大 100 個のアイテムに対応しています。
有効期限日 (オプション) [指定日以降] または [正確な日付] を選択します。次に、ルールの有効期限が切れる日数または日付を入力します。 コメント ルールの詳細を説明するコメントを入力します。 -
[保存] をクリックします。
システムはルールを処理しますが、対象となる検出結果が多い場合は時間がかかることがあります。完了すると [検出結果] ワークベンチが更新され、ルールが [設定] > [変更] に表示されます。